Accord UE-Canada, transfert et utilisation de données PNR, droit au respect de la vie privée, protection des données à caractère personnel (eu)

Un article de la Grande Bibliothèque du Droit, le droit partagé.
Europe > Droit européen (eu) > CJUE > 
Eu flag.png

Avis de la Cour de justice de l'union européenne
Juillet 2017



La Délégation des Barreaux de France est partenaire de la Grande Bibliothèque du Droit   Ce contenu vous est proposé par la Délégation des Barreaux de France, Partenaire de la GBD


Saisie d’une demande d’avis portant, notamment, sur la compatibilité avec la Charte des droits fondamentaux de l’Union européenne de l’accord envisagé entre le Canada et l’Union européenne sur le transfert et le traitement des données des dossiers passagers (ci-après « l’accord envisagé »), la Grande Chambre de la Cour de justice de l’Union européenne a conclu à l’incompatibilité de l’accord envisagé avec les articles 7, 8, 21 et 52 §1 de la Charte.


En 2010, le Parlement européen a adopté une résolution concernant le lancement des négociations sur les accords relatifs aux données des passagers aériens (ci-après « PNR ») avec les Etats-Unis, l’Australie et le Canada. Le Conseil de l’Union européenne a adopté une décision et des directives de négociation autorisant la Commission à ouvrir des négociations, au nom de l’Union, avec le Canada en vue d’un accord PNR. L’accord issu des négociations avec le Canada a été paraphé en 2013 puis le Conseil a adopté une décision relative à la conclusion de l’accord. L’accord a été signé en 2014. Le Parlement européen a adopté la résolution sur la saisine pour avis de la Cour de justice, interrogeant la Cour, d’une part, sur la compatibilité de l’accord envisagé avec les dispositions des traités et de la Charte des droits fondamentaux de l’Union européenne en ce qui concerne le droit des personnes physiques à la protection des données à caractère personnel et, d’autre part, sur le fait de savoir si l’article 82 §1, alinéa 2, sous d), et l’article 87 §2, sous a), TFUE constituent la base juridique appropriée de l’acte du Conseil portant conclusion de l’accord.


La base juridique appropriée pour adopter la décision du Conseil

– S’agissant des objectifs de l’accord envisagé, la Cour considère que celui-ci poursuit, d’une part, l’objectif d’assurer la sécurité publique au moyen d’un transfert de données PNR vers le Canada et de l’utilisation de celles-ci dans le cadre de la lutte contre les infractions terroristes et la criminalité transnationale grave et, d’autre part, l’objectif de prescription des moyens de protection des données PNR. Quant à son contenu, l’accord envisagé porte, notamment, sur la mise en place d’un système composé d’un ensemble de règles censées protéger les données à caractère personnel que le Canada s’engage à respecter dans le traitement des données PNR. Dès lors, l’accord envisagé possède deux composantes, assurer la sécurité publique et assurer la protection des données PNR, qui sont liées de manière indissociable.


– S’agissant du choix de la base juridique, la Cour estime, en premier lieu, que la décision relative à la conclusion de l’accord envisagé se rattache directement à l’objectif poursuivi par l’article 16 §2 TFUE qui constitue une base juridique appropriée lorsque la protection des données à caractère personnel est l’une des finalités des règles adoptées par le législateur de l’Union. En second lieu, la Cour juge que la décision doit également être fondée sur l’article 87 §2 sous a), TFUE, dans la mesure où les mesures portant sur le transfert des données à caractère personnel dans les domaines de la prévention des infractions pénales et des enquêtes en la matière et sur le traitement de ces données relèvent de la coopération policière visée à cet article. A cet égard, le fait que les données PNR soient initialement collectées par des transporteurs aériens à des fins commerciales et non par une autorité compétente dans ce domaine ne saurait faire obstacle à l’utilisation de cet article comme base juridique. En revanche, selon la Cour, la décision ne saurait être fondée sur l’article 82 §1, alinéa 2 sous d), TFUE en ce qu’aucune des dispositions de l’accord envisagé ne vise à faciliter la coopération entre les autorités judiciaires des Etats membres dans le cadre de poursuites pénales. Considérant que le protocole no 22 ne saurait entraîner des règles de vote différentes au sein du Conseil en cas de recours conjoint aux articles 16 §2 et 87 §2 sous a), TFUE, la Cour juge que l’accord envisagé doit être fondé conjointement sur ces deux dispositions.


La compatibilité des dispositions de l’accord envisagé avec le TFUE et la Charte des droits fondamentaux

– En premier lieu, s’agissant des droits fondamentaux concernés, les données PNR, visées par l’accord, comprennent, notamment, le nom des passagers atériens, les dates prévues et l’itinéraire du voyage, les coordonnées des passagers, les informations relatives aux moyens de paiement, les informations concernant les bagages et des remarques générales. Ces données peuvent faire l’objet d’un transfert de l’Union vers le Canada. Cette communication de données à caractère personnel à un tiers et leur conservation constituent, selon la Cour, une ingérence dans les droits fondamentaux consacrés aux articles 7 et 8 de la Charte des droits fondamentaux quelle que soit l’utilisation ultérieure des informations. La Cour rappelle que les données transférées sont destinées à être analysées de manière systématique par des moyens automatisés, susceptibles de fournir des informations sur la vie privée des passagers aériens. En outre, ces analyses peuvent donner lieu à des vérifications supplémentaires aux frontières à l’égard des passagers aériens susceptibles de présenter un risque pour la sécurité publique et la conservation des données PNR peut aller jusqu’à cinq ans.


– En deuxième lieu, s’agissant de la justification des ingérences, la Cour rappelle que les droits consacrés aux articles 7 et 8 de la Charte des droits fondamentaux n’apparaissent pas comme des prérogatives absolues mais doivent être pris en considération par rapport à leur fonction dans la société. Conformément à l’article 52 §1 de la Charte, toute limitation de l’exercice des droits et libertés prévus par celle-ci doit être prévue par la loi, ce qui implique que la base légale qui permet l’ingérence doit définir elle-même la portée de la limitation de l’exercice du droit concerné, et respecter leur contenu essentiel.


Premièrement, selon la Cour, les traitements des données PNR ne sont pas fondés sur le consentement donné par les passagers aériens en vue de la collecte de ces données et nécessitent un consentement propre ou un autre fondement légitime prévu par la loi. D’une part, aucune disposition de l’accord envisagé ne subordonne le transfert des données au consentement des passagers aériens. D’autre part, l’accord envisagé ayant été adopté après l’approbation du Parlement européen, il peut être considéré comme étant, sur le plan extérieur, l’équivalent d’un acte législatif sur le plan intérieur et il en résulte, selon la Cour, que le transfert repose sur un autre fondement prévu par la loi.


Deuxièmement, la Cour considère que l’accord envisagé vise, notamment, à garantir la sécurité publique au moyen de l’utilisation de données PNR dans le cadre de la lutte contre des infractions terroristes et la criminalité transnationale grave, objectif d’intérêt général susceptible de justifier des ingérences dans les droits fondamentaux précités. En outre, selon elle, la nature des informations contenues par les données PNR est limitée à certains aspects de la vie privée et circonscrit les finalités du traitement des données. La Cour juge, dès lors, que les ingérences sont susceptibles d’être justifiées par un objectif d’intérêt général de l’Union et ne sont pas de nature à porter atteinte au contenu essentiel des droits fondamentaux en cause.


Troisièmement, la Cour opère un contrôle de proportionnalité des ingérences prévues dans l’accord. D’une part, elle considère ce transfert et les traitements ultérieurs aptes à garantir la réalisation de l’objectif tenant à la protection de la sécurité et de la sûreté publiques. D’autre part, elle vérifie si les ingérences sont limitées au strict nécessaire et si, dans ce cadre, cet accord énonce des règles claires et précises régissant la portée et l’application des mesures qu’il prévoit. A cet égard, la Cour estime qu’en de nombreux points, l’accord envisagé n’est pas conforme au droit de l’Union européenne. Ainsi, l’accord envisagé ne détermine pas de manière claire et précise les données PNR à transférer vers le Canada. De plus, selon elle, la Charte s’oppose au transfert des données sensibles vers le Canada et à l’encadrement négocié par l’Union avec cet Etat tiers tenant à l’utilisation et à la conservation de ces données et le libellé des cas dans lesquels le Canada peut traiter les données PNR est trop vague et général pour satisfaire aux exigences de clarté et de précision requises.


Sur d’autres points, la Cour considère que l’accord envisagé n’est pas compatible avec les traités. Tout d’abord, elle juge que l’accord ne répond ni à l’exigence de contrôle préalable de l’utilisation des données PNR par une juridiction ou une entité administrative indépendante, ni à l’exigence que la décision de cette entité intervienne à la suite d’une demande motivée des autorités compétentes dans le cadre de procédures de prévention, de détection ou de poursuites pénales. Ensuite, le stockage continu des données PNR de l’ensemble des passagers aériens après leur départ du Canada n’est, selon la Cour, pas limité au strict nécessaire en ce qu’il n’existe plus à ce moment de rapport même indirect entre les données PNR et l’objectif poursuivi par l’accord envisagé. Enfin, la Cour estime que ce dernier ne garantit pas que la communication des données par l’autorité canadienne à d’autres autorités publiques sera limitée au strict nécessaire, en particulier en raison du transfert à des autorités publiques d’autres pays tiers.


En troisième lieu, sur les droits individuels des passagers aériens et les garanties en matière de protection des données


D’une part, l’accord devrait préciser que les passagers aériens dont les données PNR ont été utilisées et conservées sont informés par l’autorité compétente de l’utilisation de leurs données.

D’autre part, selon la Cour, l’accord envisagé ne garantit pas de manière suffisamment claire et précise que la surveillance du respect de règles prévues par cet accord sera effectuée par une autorité indépendante. Partant, la Cour juge l’accord envisagé incompatible en l’état avec les traités et dresse, dans son dispositif, la liste des conditions à respecter.


(Avis du 26 juillet 2017, Accord envisagé entre le Canada et l’Union européenne sur le transfert et le traitement de données des dossiers passagers, aff. 1/15)